Anche per i commercialisti vale il principio di accountability del GDPR. Ogni titolare del trattamento deve adottare misure adeguate al proprio contesto e dare prova di aver rispettato la normativa in materia privacy. Nell’impossibilità, da parte del legislatore, di inseguire il progresso tecnologico, il professionista (nel nostro caso il commercialista o lo studio associato) viene messo al centro come partner per conseguire la tutela degli interessati.
Indice degli argomenti
Commercialisti e GDPR, analisi dei rischi: la checklist del CNDCEC
Il regolamento europeo introduce i principi “privacy by design” e “privacy by default”: ogni titolare del trattamento deve personalizzare il trattamento dei dati personali. In tale modo, si vuole certificare l’abbandono di ogni approccio “copia e incolla” purtroppo ancora diffuso nella prassi.
Il Titolare del trattamento deve essere in grado di “fotografare” tutti i trattamenti di dati personali (la cosiddetta “mappatura dei dati personali”) effettuati al fine di individuare gli eventuali rischi che espongono i dati personali a violazioni, così da determinare quali misure introdurre per alzare il livello di sicurezza.
Il professionista, in qualità di titolare del trattamento, deve essere consapevole dei trattamenti svolti e dei rischi correlati: senza la “fotografia” della propria attività rischierebbe di cadere nella tentazione dell’approccio “copia e incolla”, producendo documenti non utili rispetto alla situazione tecnica e organizzativa reale.
Per supportare il commercialista nell’attività di analisi dei rischi, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili ha pubblicato il documento “Il regolamento UE/2016/679 General data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali” che, oltre a presentare una sintesi delle novità del GDPR, propone una checklist utile per confrontare l’organizzazione di studio ai nuovi adempimenti.
La checklist proposta si sofferma perlopiù sui rischi di non conformità normativa: un elenco ordinato degli adempimenti richiesti dal GDPR. Il commercialista dovrebbe integrare tale checklist per verificare le misure di sicurezza informatica applicate, al fine di valutare la loro idoneità a proteggere i dati personali. Uno strumento utile per effettuare un primo controllo è fornito dalla CNIL (Commission Nationale de l’Informatique et des Libertés, l’autorità francese per la tutela dei dati personali) con la guida “Security of personal data”.
DPO, DPIA, registro del trattamento: gli adempimenti obbligatori
Negli ultimi mesi l’attenzione delle aziende e dei professionisti si è rivolta alle novità più discusse del GDPR: il Responsabile per la protezione dei dati personali (spesso citato con l’acronimo inglese DPO), la valutazione di impatto dei trattamenti (anche qui con acronimo di origine anglofona DPIA) e il registro dei trattamenti.
Il DPO, sebbene il Garante per la protezione dei dati ne consigli la nomina nelle realtà aziendali, deve essere nominato obbligatoriamente solo nei casi indicati dall’art. 37 GDPR. Nel settore privato, la nomina risulta infatti obbligatoria in contesti nei quali il trattamento possa comportare un rischio elevato per gli interessati, viste le attività di monitoraggio regolare e sistematico degli interessati effettuato su larga scala o un trattamento di dati di particolari categorie effettuato su larga scala.
Come noto, il Regolamento Europeo n. 679/2016 non definisce il concetto di “larga scala “, tuttavia le linee guida del Working Party Article 29 n. 243 sul Responsabile per la protezione dei dati offrono alcuni riferimenti utili. Inoltre, lo stesso Considerando 91 GDPR indica che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.
A maggior ragione il trattamento effettuato dal singolo commercialista non potrebbe essere considerato su larga scala. Si può, inoltre, escludere che uno studio associato effettui dei trattamenti su larga scala: gli indici offerti dalle Linee guida suindicati fanno riferimento a realtà pubbliche e private di portata geografica e di volumi di dati ben maggiori (es. ospedali, compagnie di assicurazioni, banche). Va comunque precisato che il Garante italiano, nelle FAQ sul DPO nel settore privato pubblicate il 26/03/2018, ha escluso l’obbligo di nomina per il DPO solo con riguardo al professionista operante singolarmente, lasciando alle realtà associate il compito di verificare l’obbligatorietà nel proprio contesto.
Il nuovo istituto della valutazione di impatto (DPIA) più di altri evidenzia il cambio di prospettiva imposto dal GDPR, imponendo al titolare del trattamento, in alcuni casi, di analizzare il processo che sovrintende il trattamento di dati personali al fine di individuare le misure di sicurezza più adatte tramite una valutazione complessiva. Il commercialista potrebbe essere chiamato a svolgere una DPIA per verificare l’operatività di software di scambio dati personali di particolari categorie con i propri clienti che non offrano garanzie sufficienti o altri trattamenti che comportino un alto rischio ai diritti e alle libertà delle persone fisiche.
Le Linee guida n. 248 Working Party Article 29 offrono nove scenari che possono comportare un obbligo di effettuare la DPIA. Recentemente il Garante italiano ha elaborato un elenco di trattamenti da sottoporre a DPIA, oggetto della Opinion 12/2018 del European Data Protection Board.
Anche l’utilizzo di un impianto di videosorveglianza con caratteristiche tecniche eccedenti rispetto a quanto indicato dal Provvedimento generale del Garante per la protezione dei dati in materia di videosorveglianza del 8 aprile 2010 (ad esempio, sistemi di motion detection) potrebbe comportare una valutazione di impatto obbligatoria.
Recentemente, il Garante per la protezione dei dati personali ha pubblicate delle FAQ riguardanti il registro del trattamento di cui all’articolo 30 GDPR.
Il registro del trattamento consente di documentare il data mapping e “fotografare” lo stato dell’arte della propria organizzazione rispetto al rispetto del GDPR. Sebbene l’articolo 30 GDPR preveda l’obbligo di tenuta del registro per le organizzazioni con meno di 250 dipendenti solo al ricorrere di due requisiti (un rischio elevato per i diritti degli interessati che riguardi trattamenti non occasionali o trattamenti di particolari categorie di dati) il Garante italiano ha optato per un’interpretazione estensiva, diretta alla maggiore diffusione di tale strumento di accountability: il registro dei trattamenti è oggi considerato obbligatorio per tutte le organizzazioni che effettuino trattamenti non occasionali. L’attività professionale del commercialista o il rapporto di lavoro con dipendenti determinano di certo esempi di trattamenti non occasionali.
In particolare, il Garante italiano ha indicato che sono tenuti alla redazione e tenuta del registro tutti i “liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (ad esesmpio, commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale)”.
Il Garante ha anche predisposto un modello semplificato di registro del trattamento che il professionista può utilizzare e conservare con modalità cartacea o elettronica.
Le informazioni da rendere ai clienti o ad altri interessati
Il professionista dovrà prevedere una modalità per rendere agli interessati le informazioni sul trattamento dei dati personali. Tale diritto di cui agli articoli 12-13-14 GDPR comunemente conosciuto di “informativa” deve ora essere inteso come un processo e non solo come un documento.
Lo scopo è svolgere una disclosure per informare gli interessati sulle modalità e caratteristiche del trattamento dei dati, pertanto non può essere utilizzata una “informativa unica”: il trattamento che riguarda i clienti ha delle peculiarità rispetto a quello che riguarda i collaboratori o il personale dipendente, o il trattamento svolto per finalità di marketing diretto o per consentire l’iscrizione a un servizio newsletter.
Per raggiungere in modo efficace lo scopo di informare gli interessati e diminuire i moduli cartacei da somministrare ai clienti, il commercialista può sfruttare il proprio sito Web e creare una informativa su più livelli con le modalità consigliate dalle Linee guida n. 260 Working Party Article 29 sulla trasparenza. Con tale tecnica, è possibile fornire all’interessato un’informativa breve (con indicazione della finalità e titolarità del trattamento, oltre ai diritti degli interessati) rinviando con modalità graficamente efficaci (ad esempio, utilizzo di QR Code) al testo dell’informativa completa.
In tale modo è più semplice bilanciare gli oneri di trasparenza nei confronti degli interessati (creando una pagina Web dedicata con dettagliate informazioni), con l’immediatezza dei rapporti con gli interessati, integrando l’informativa breve nel contratto senza dover “creare carta”.
Anche optando per la classica informativa cartacea, il commercialista può avvalersi dell’Allegato A delle Linee Guida suindicate per redigerne il testo.
Commercialisti e GDPR: come gestire i collaboratori di studio
I collaboratori di studio, sia per quanto riguarda i rapporti di lavoro subordinato che altre forme di collaborazione, sono considerati “soggetti autorizzati” al trattamento dei dati personali.
Il professionista deve regolare gli accessi ai dati personali sulla base del principio del “need-to-know”: ciascuno può accedere esclusivamente ai dati necessari allo svolgimento delle proprie mansioni.
Il titolare del trattamento deve attuare le misure che impediscono gli accessi non autorizzati mediante la regolazione degli accessi alle cartelle del server (ad esempio, utilizzando Active Directory), l’utilizzo di chiavi e armadi chiusi, la limitazione dell’utilizzo di account comuni a più soggetti.
Successivamente all’abrogazione dell’Allegato B del D.lgs. 196/2003 ad opera del D.lgs. 101/2018, infatti, la “lettera di nomina” o di autorizzazione al trattamento dei dati non si deve più considerare come adempimento formalmente obbligatorio. Tuttavia, ai sensi dell’art. 29 GDPR, il commercialista deve curare la formazione e sensibilizzazione dei propri collaboratori sulle norme che sovrintendono il trattamento dei dati personali. In tale senso, una policy sull’utilizzo degli strumenti informatici e la posta elettronica risulta essere senz’altro un importante strumento di accountability.
Il commercialista come responsabile del trattamento dei dati personali
A lungo si è dibattuto sulla necessità, per il commercialista, di essere inquadrato come responsabile del trattamento dei dati personali ai sensi dell’art. 28 GDPR.
Infatti, i soggetti che effettuano trattamenti di dati personali per conto del titolare del trattamento sono tenuti a sottoscrivere un accordo in forma scritta, ai sensi dell’art. 28 GDPR, per stabilire le reciproche responsabilità e garantire le misure di sicurezza tecniche e organizzative adeguate.
Un utile riferimento per individuare i rapporti che determinano una responsabilità nel trattamento è quello offerto dalla Opinion 1/2010 Working Party Article 29 “on the concepts of “controller” and “processor”: è necessario abbandonare l’approccio italiano della “nomina” in quanto la responsabilità è determinata in sé dal tipo di relazione, dalla realtà dei fatti, e non è facoltà delle parti determinare tali ruoli.
Recentemente il dott. Buttarelli, European Data Protection Supervisor, ha rilasciato un’intervista su IusLaw WebRadio, la Radio dell’Avvocatura e dei professionisti, indicando che “se io affido le mie carte al commercialista per farmi la denuncia dei redditi, la fatturazione come avvocato, io non posso designarlo come responsabile del trattamento perché io non so nulla di quello che lui farà nel suo studio (…). Perciò la funzione strumentale del commercialista non autorizza il fatto di designarlo responsabile del trattamento, sarà un autonomo titolare del trattamento”.
Tale soluzione interpretativa offerta dal Garante Europeo sembra voler diminuire la “burocratizzazione” dei rapporti, laddove l’applicabilità dell’art. 28 GDPR nel caso concreto sarebbe di difficile attuazione. Si immagini il piccolo artigiano o il piccolo commerciante che, avendo designato il commercialista quale responsabile del trattamento, dovrebbero dare prova della propria accountability effettuando regolari audit presso lo studio del medesimo
Un’ipotesi in cui il commercialista risulterebbe essere responsabile del trattamento è invece quella dell’assistenza fiscale per conto del CAF. Infatti, alcuni CAF hanno designato responsabili del trattamento i professionisti cui i clienti si rivolgono per l’attività di assistenza fiscale e compilazione volta alla richiesta di prestazioni sociali agevolate collegate all’ISEE.
Commercialisti e GDPR: situazioni ricorrenti
Oltre ad approfondire gli aspetti generali, il documento pubblicato dal CNDCEC elenca alcune situazioni ricorrenti, alle quali ha deciso di fornire una soluzione interpretativa.
Il documento CNDCEC, per quanto riguarda l’organizzazione in ordine all’accountability, suggerisce di indicare per ciascuno studio professionale almeno un “Referente GDPR” al quale fare riferimento (c.d. “punto di contatto”) sia ai fini di eventuali verifiche e controlli sia al fine di consentire un migliore e agevole esercizio dei diritti degli interessati.
Aspetto non banale inoltre, è quello riguardante il periodo di conservazione dei dati personali, che deve essere espressamente indicato nell’informativa da rendere al soggetto interessato. Sul punto il documento CNDCEC individua un termine generale di dieci anni per la conservazione dei documenti rilevanti ai fini contabili, tributari e antiriciclaggio, secondo la disciplina del codice civile. Inoltre, il documento suggerisce di indicare espressamente nel contratto con il cliente il periodo di conservazione, al fine di creare una procedura interna per la consegna periodica dei documenti al cliente (es. denuncia dei redditi, dichiarazioni contabili…) con espressa manleva dall’obbligo di conservazione degli stessi.
Anche il trattamento dei documenti cartacei è sottoposto alle regole di protezione dei dati del Regolamento Europeo: ciò non comporta un obbligo di “depennare” dalle copertine dei fascicoli i riferimenti anagrafici, ma di proteggerli adeguatamente da accessi non autorizzati.
